Zum Inhalt

Website-Pflichten

Das Impressum – Pflicht, nicht Option

Wer eine Website geschäftsmäßig betreibt, ist nach dem Telemediengesetz (TMG) – seit 2024 im Digitale-Dienste-Gesetz aufgegangen – zur Angabe eines vollständigen Impressums verpflichtet. Geschäftsmäßig bedeutet dabei nicht nur gewerblich – auch Freiberufler, Vereine und alle, die mit ihrer Website regelmäßig und auf Dauer tätig sind, fallen darunter.

Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Ein Link im Footer der Website mit der Bezeichnung „Impressum" oder „Kontakt/Impressum" erfüllt das in der Regel.

Was ins Impressum muss (Mindestangaben für Selbständige):

  • Vollständiger Name (Vor- und Nachname) oder Firmenname
  • Vollständige Postanschrift (kein Postfach)
  • E-Mail-Adresse
  • Mindestens ein weiterer schneller Kommunikationsweg zusätzlich zur E-Mail – zum Beispiel Telefonnummer, Faxnummer oder Kontaktformular
  • Bei Freiberuflern mit Zulassungspflicht: zuständige Kammer oder Aufsichtsbehörde
  • Bei umsatzsteuerpflichtigen Unternehmern: Umsatzsteuer-Identifikationsnummer
  • Bei eingetragenen Unternehmen: Handelsregisternummer und Registergericht

Was häufig vergessen wird:

Der zweite Kommunikationsweg. Eine E-Mail-Adresse allein reicht nicht – das DDG verlangt zusätzlich mindestens einen weiteren schnellen und unmittelbaren Kontaktweg. Das kann eine Telefonnummer sein, aber auch eine Faxnummer oder ein Kontaktformular, das zeitnah beantwortet wird. Eine Telefonnummer ist also nicht gesetzlich vorgeschrieben, aber die praktisch sicherste Lösung – wer stattdessen ein Kontaktformular nutzt, muss im Streitfall nachweisen, dass er darüber schnell und zuverlässig erreichbar war. Ebenfalls häufig vergessen: die Aufsichtsbehörde bei reglementierten Berufen (Ärzte, Anwälte, Steuerberater, Heilpraktiker etc.).

Die Datenschutzerklärung – was wirklich drin stehen muss

Eine Datenschutzerklärung muss vorhanden, vollständig und aktuell sein. Das bedeutet in der Praxis: Immer dann, wenn du einen neuen Dienst einsetzt, der Daten verarbeitet – ein neues Analytics-Tool, einen neuen Newsletter-Anbieter, ein Buchungssystem – muss die Datenschutzerklärung aktualisiert werden.

Was eine vollständige Datenschutzerklärung abdecken muss:

  • Wer für die Datenverarbeitung verantwortlich ist (Name, Kontakt)
  • Welche Daten erhoben werden und zu welchem Zweck
  • Auf welcher Rechtsgrundlage die Verarbeitung erfolgt
  • Wie lange Daten gespeichert werden
  • An wen Daten weitergegeben werden (Dritte, Auftragsverarbeiter, Drittländer)
  • Welche Rechte Betroffene haben (Auskunft, Berichtigung, Löschung, Widerspruch)
  • Wie Betroffene Beschwerde bei der Aufsichtsbehörde einlegen können

Die größte Falle: Eine Datenschutzerklärung, die du einmal von irgendwo kopiert hast und seitdem nicht mehr angefasst hast. Datenschutzerklärungen veralten – weil sich die Rechtslage ändert, weil Tools aktualisiert werden, weil du neue Dienste einsetzt. Überprüfe deine Datenschutzerklärung mindestens einmal jährlich.

Cookie-Banner sind nicht per se Pflicht. Sie sind die Konsequenz daraus, dass du Cookies oder ähnliche Tracking-Technologien einsetzt, für die eine Einwilligung erforderlich ist. Wer keine einwilligungspflichtigen Cookies setzt, braucht keinen Banner.

Was viele nicht wissen: Ein Cookie-Banner, der nur ein „OK"-Button hat, ohne die Möglichkeit abzulehnen, ist nicht DSGVO-konform. Ein wirksamer Cookie-Banner muss es genauso einfach machen, abzulehnen wie zuzustimmen. „Alles akzeptieren" und „Alles ablehnen" müssen gleichwertig und ohne Umwege erreichbar sein.

Vorausgewählte Checkboxen für nicht-notwendige Cookies sind ebenfalls unzulässig – die Einwilligung muss aktiv erteilt werden.

Die einfachste Lösung: Verzichte auf einwilligungspflichtige Cookies, wo immer möglich. Nutze datenschutzfreundliche Alternativen zu Google Analytics, die ohne Cookies auskommen oder keine personenbezogenen Daten übertragen. Dann brauchst du keinen Cookie-Banner – und hast das Problem nicht.

Generatoren für Impressum und Datenschutzerklärung – Hilfe mit Grenzen

Wer Impressum und Datenschutzerklärung nicht von Grund auf selbst formulieren möchte, findet im Netz zahlreiche Generatoren – darunter die viel genutzten Tools von e-recht24.de, der Deutschen Datenschutzkanzlei (DSGVO.de) oder dem Datenschutz-Generator von Dr. Thomas Schwenke (datenschutz-generator.de). Sie sind eine sinnvolle Hilfestellung und für viele Selbständige ein vernünftiger Ausgangspunkt.

Aber: Generatoren haben strukturelle Grenzen, die man kennen sollte.

Generatoren sind nur so gut wie die Eingaben. Ein Generator kann nur die Situationen abdecken, die du ihm beschreibst. Wer vergisst anzugeben, dass er ein bestimmtes Analytics-Tool, ein Kontaktformular mit externem Anbieter oder einen amerikanischen E-Mail-Dienst nutzt, bekommt eine Datenschutzerklärung, die genau diese Punkte nicht abdeckt – und damit lückenhaft ist. Die Lücke ist nicht das Problem des Generators, sondern des Nutzers. Trotzdem: Die Lücke haftet der Website an.

Generatoren kennen deine individuelle Situation nicht. Ein Generator gibt allgemeine Textbausteine aus, die für typische Situationen passen. Wer ein ungewöhnliches Geschäftsmodell hat, besondere Kategorien personenbezogener Daten verarbeitet (z. B. Gesundheitsdaten, politische Überzeugungen) oder als Berufsgeheimnisträger zusätzlichen Pflichten unterliegt, wird mit einem Standard-Generator nicht ausreichend versorgt.

Generatoren veralten. Die Rechtslage ändert sich – durch neue Urteile, neue Gesetze, neue Technologien. Ein Generator, der zuletzt vor zwei Jahren aktualisiert wurde, kann veraltete Formulierungen enthalten. Prüfe, wann der von dir genutzte Generator zuletzt aktualisiert wurde.

Generatoren ersetzen keine rechtliche Prüfung. Ein generierter Text ist kein Anwaltswerk. Er kann als Basis dienen, aber wer auf Nummer sicher gehen will – insbesondere bei ungewöhnlichen Situationen oder sensiblen Daten – sollte einen Rechtsanwalt hinzuziehen.

Merksatz: Ein Generator ist ein guter Startpunkt, aber kein Sicherheitsnetz. Er gibt dir einen Text – du bist dafür verantwortlich, dass er auf deine Situation zutrifft. Prüfe jeden Baustein kritisch: Nutze ich diesen Dienst wirklich? Trifft diese Beschreibung auf mich zu?

Praktischer Tipp: Gehe die fertige Datenschutzerklärung Abschnitt für Abschnitt durch und vergleiche sie mit dem, was auf deiner Website tatsächlich passiert. Jeder Dienst, jedes eingebettete Element, jedes Kontaktformular muss abgedeckt sein. Was nicht auf deiner Website ist, gehört auch nicht in die Erklärung – und umgekehrt.

Barrierefreiheit – das Barrierefreiheitsstärkungsgesetz (BFSG)

Seit dem 28. Juni 2025 gilt in Deutschland das Barrierefreiheitsstärkungsgesetz (BFSG), das die europäische Richtlinie „European Accessibility Act" in deutsches Recht umsetzt. Es verpflichtet bestimmte Unternehmen dazu, ihre Websites, Online-Shops und digitalen Dienste so zu gestalten, dass Menschen mit Behinderungen sie ohne besondere Erschwernis nutzen können.

Wer ist betroffen?

Das BFSG gilt für Unternehmen, die digitale Dienstleistungen gegenüber Verbrauchern (B2C) erbringen. Dazu zählen insbesondere Online-Shops und alle Websites, über die Dienstleistungen oder Waren direkt an Endverbraucher verkauft werden – tendenziell auch Buchungssysteme, Kontaktformulare zur Auftragsanbahnung und ähnliches, wobei die genaue Reichweite im Einzelfall juristisch zu bewerten ist.

Bitte lies die Ausnahmen direkt im Anschluss, bevor du alarmiert bist – die meisten Selbständigen fallen darunter:

Wichtige Ausnahmen:

  • Kleinstunternehmen – weniger als 10 Beschäftigte und höchstens 2 Millionen Euro Jahresumsatz oder Bilanzsumme – sind von der Pflicht zur Barrierefreiheit bei Dienstleistungen ausgenommen. Das trifft auf die meisten Selbständigen zu.
  • Rein geschäftliche B2B-Angebote – Websites, die sich ausschließlich an Geschäftskunden richten – unterliegen nicht dem BFSG. Die B2B-Ausrichtung muss dabei klar erkennbar sein.
  • Kleinstunternehmen, die Produkte herstellen oder vertreiben, die im Gesetz explizit aufgeführt sind (z. B. Computer, Smartphones, Router), sind hingegen auch als Kleinstunternehmen verpflichtet – unabhängig von der Größe.

Was bedeutet das konkret für Selbständige?

Wer als Selbständige(r) ausschließlich Dienstleistungen erbringt und weniger als 10 Personen beschäftigt, ist von der gesetzlichen Pflicht in der Regel ausgenommen. Wer jedoch einen Online-Shop betreibt oder digitale Produkte an Verbraucher verkauft und die Kleinstunternehmen-Schwelle überschreitet – oder plant, das zu tun –, muss die Anforderungen des BFSG erfüllen.

Was verlangt das BFSG technisch?

Als Maßstab gilt die europäische Norm EN 301 549, die wiederum auf die international anerkannten Web Content Accessibility Guidelines (WCAG) 2.1 auf Level AA verweist. Konkret bedeutet das unter anderem: ausreichende Farbkontraste zwischen Text und Hintergrund, Textalternativen für Bilder, Bedienbarkeit per Tastatur, klare und verständliche Sprache, und die Möglichkeit, Inhalte mit Screenreadern (Vorlese-Software) zu nutzen.

Betroffene Websites müssen zusätzlich eine Erklärung zur Barrierefreiheit veröffentlichen – vergleichbar mit Impressum oder Datenschutzerklärung, typischerweise im Footer verlinkt.

Sanktionen: Bei Verstößen drohen Bußgelder bis zu 100.000 Euro sowie Abmahnungen durch Mitbewerber oder anerkannte Verbände.1

Empfehlung auch ohne Pflicht: Selbst wenn du als Kleinstunternehmen nicht gesetzlich verpflichtet bist – barrierefreie Websites erreichen mehr Menschen, verbessern die Usability für alle Nutzer und sind ein Qualitätsmerkmal. Die Bundesfachstelle Barrierefreiheit (bundesfachstelle-barrierefreiheit.de) bietet kostenlose Beratung speziell für Kleinstunternehmen an.

Tools zur Prüfung der Website-Compliance

Eine Website einmal aufzusetzen und danach nie wieder zu prüfen, ist eine der häufigsten Ursachen für schleichende Compliance-Probleme: Neue Dienste werden eingebunden, Plugins aktualisiert, Drittanbieter-Scripts laden ohne dein Wissen Tracker nach. Regelmäßige Prüfung ist Pflicht – im wörtlichen wie im übertragenen Sinne.

Datenschutz & Cookie-Prüfung

Automatisierte Scanner prüfen deine Website auf technisch erkennbare DSGVO-Schwachstellen: aktive Tracker, Cookies die ohne Einwilligung gesetzt werden, fehlende oder verlinkte Datenschutzerklärungen, unsichere HTTP-Verbindungen, Drittanbieter-Dienste mit Datentransfer in Drittstaaten.

  • Cookiebot / Usercentrics (cookiebot.com): Scannt die Website auf Cookies und Tracker, gibt einen Compliance-Score. Kostenloser Einstieg für wenige Seiten, danach kostenpflichtig. Cookiebot gehört zum US-Konzern Cybot – wer hier datenschutzbewusst sein will, nutzt die Scan-Funktion nur zur Prüfung, nicht dauerhaft als Consent-Tool.
  • Dr. DSGVO Website-Check (dr-dsgvo.de): Kostenloser Scanner mit Fokus auf technische Datenschutzverstöße. Für Selbständige ein sinnvoller kostenloser Einstieg.
  • mxtoolbox.com: Primär ein DNS- und E-Mail-Tool (SPF, DKIM, DMARC, Blacklist-Check), aber nützlich für alle, die ihre E-Mail-Infrastruktur prüfen wollen.

Wichtig: Kein automatischer Scanner kann eine vollständige rechtliche Prüfung ersetzen. Scanner erkennen das Vorhandensein eines Cookie-Banners – nicht, ob er korrekt implementiert ist. Sie erkennen eine Datenschutzerklärung – nicht, ob sie vollständig auf deine Situation passt.

Impressum-Prüfung

Eine schnelle manuelle Prüfung ist hier oft effizienter als ein Tool: Rufe das Impressum auf und gleiche es mit den gesetzlichen Pflichtangaben ab. Wenn du unsicher bist, welche Angaben für deine Branche oder Rechtsform erforderlich sind, hilft der e-recht24-Impressum-Check (e-recht24.de) als orientierender Einstieg.

Barrierefreiheit prüfen

  • WAVE Web Accessibility Evaluation Tool (wave.webaim.org): Kostenloses Browser-Plugin und Online-Tool, das WCAG-Verstöße visuell direkt auf der Seite markiert. Gut geeignet für einen ersten Überblick.
  • Lighthouse (in Google Chrome integriert): Entwicklertools → Lighthouse → „Accessibility" – gibt einen Score und listet konkrete Probleme auf. Keine Installation nötig.
  • axe DevTools (Browser-Extension): Detailliertere Barrierefreiheits-Prüfung, ebenfalls kostenlos in der Basisversion.

SSL/HTTPS-Prüfung

  • SSL Labs (ssllabs.com/ssltest): Prüft die SSL-Konfiguration deines Servers detailliert – nicht nur ob HTTPS vorhanden ist, sondern ob es korrekt und sicher konfiguriert ist. Ein „A"-Rating ist der Richtwert.

Der wichtigste Grundsatz für alle Tools gilt auch hier: Automatische Prüfungen sind ein hilfreicher Ausgangspunkt, kein Abschluss. Sie zeigen technisch Sichtbares – aber Compliance ist eine rechtliche und inhaltliche Frage, die kein Scanner vollständig beantworten kann. Nutze die Tools als regelmäßigen Frühwarnsystem, nicht als Sicherheitsgarantie.

Checkliste: Website-Pflichten

  • Mein Impressum enthält alle Pflichtangaben – E-Mail-Adresse und mindestens einen weiteren schnellen Kontaktweg (Telefon, Fax oder aktiv betreutes Kontaktformular).
  • Das Impressum ist über einen gut sichtbaren Link erreichbar – auf jeder Seite meiner Website.
  • Meine Datenschutzerklärung ist vollständig und deckt alle Dienste ab, die ich nutze.
  • Ich überprüfe Impressum und Datenschutzerklärung mindestens jährlich auf Aktualität.
  • Falls ich einen Generator verwendet habe: Ich habe jeden Abschnitt auf Vollständigkeit und Richtigkeit für meine konkrete Situation geprüft.
  • Ich habe geprüft, ob das BFSG auf meine Website zutrifft (B2C-Angebot? Über Kleinstunternehmen-Schwelle?).
  • Falls BFSG anwendbar: Eine Erklärung zur Barrierefreiheit ist veröffentlicht.
  • Ich nutze regelmäßig einen automatischen Scanner (z. B. Dr. DSGVO, Cookiebot-Scan) zur Prüfung auf neue Tracker und Datenschutzverstöße.
  • Meine SSL-Konfiguration ist geprüft und aktuell (SSL Labs, mindestens A-Rating).
  • Meine Datenschutzerklärung deckt alle tatsächlich genutzten Dienste ab – kein Dienst fehlt, kein nicht genutzter Dienst ist aufgeführt.
  • Mein Cookie-Banner (falls vorhanden) ermöglicht echte Ablehnung ohne Umwege.
  • Ich habe geprüft, ob ich nicht auf einwilligungspflichtige Cookies verzichten kann.

  1. § 31 Barrierefreiheitsstärkungsgesetz (BFSG). Kleinere Verstöße (z. B. fehlende Dokumentation) können mit bis zu 10.000 Euro geahndet werden; schwerwiegende Verstöße (z. B. Inverkehrbringen nicht-barrierefreier Produkte) mit bis zu 100.000 Euro. Kleinstunternehmen mit einem Jahresumsatz unter 2 Millionen Euro sind bei Dienstleistungen vom BFSG ausgenommen. gesetze-im-internet.de/bfsg/__31.html